Los piratas informáticos utilizan el software VPN falso de GlobalProtect En el nuevo ataque de malware WikiLoader

04 septiembre 2024Ravi LaxmananMalware/Seguridad de red

Nueva campaña de malware está falsificando software GlobalProtect VPN de Palo Alto Networks ofrece WikiLoader (también conocido como WailingCrab) en varios formatos. utilizando campañas de optimización de motores de búsqueda (SEO)

La actividad publicitaria de malware observada en junio de 2024 viola tácticas observadas anteriormente. El malware se propaga a través de correos electrónicos de phishing tradicionales, dijeron los investigadores de la Unidad 42, Mark Lim y Tom Marsden.

WikiLoader, que fue documentado por primera vez por Proofpoint en agosto de 2023, ha sido identificado como el creador de una amenaza conocida como TA544, y el ataque por correo electrónico utilizaba malware para iniciar Danabot y Ursnif.

seguridad cibernética

Anteriormente en abril La empresa surcoreana de ciberseguridad AhnLab ha revelado detalles de una campaña de ataque que utilizó una versión troyanizada del complemento Notepad++ como método de distribución.

Se dice que el cargador de alquiler es utilizado por al menos dos corredores de acceso predeterminado (IAB), según la Unidad 42, y señala que la cadena de ataque se caracteriza por una estrategia que permite eludir la cadena y puede evitar la detección por parte de herramientas de seguridad.

“Los atacantes suelen utilizar el envenenamiento de SEO como punto de entrada predeterminado para engañar a las personas para que visiten páginas que falsifican resultados de búsqueda legítimos para entregar malware. en lugar de enviar los productos buscados”, dijeron los investigadores.

“La infraestructura de entrega de la campaña aprovecha un sitio web clonado que ha sido renombrado Protección global junto con el repositorio Git basado en la nube»

Por lo tanto, los usuarios que buscan software Protección global Verás un anuncio de Google cuando hagas clic en él. El anuncio redirige al usuario a una página de descarga. El falso GlobalProtect da como resultado secuencias de infección

El instalador MSI tiene un archivo ejecutable. («GlobalProtect64.exe») es en realidad una versión renombrada de una aplicación legítima de negociación de acciones de TD Ameritrade (ahora parte de Charles Schwab), que se utiliza para cargar archivos DLL maliciosos. «i4jinst.dll»

Esto allana el camino para la ejecución del código shell que pasa por una secuencia de pasos para descargar y eventualmente iniciar la puerta trasera WikiLoader desde un servidor remoto.

Esto es para mejorar la legitimidad del instalador y engañar a las víctimas. Aparecerá un mensaje de error falso al final de todo el proceso. Indica que a la computadora con Windows le faltan algunas bibliotecas.

Además de utilizar el software renombrado También descarga malware. Los actores de amenazas también han implementado controles anti-análisis para determinar si WikiLoader se está ejecutando en un entorno virtual. y finalizará solo cuando encuentre procesos relacionados con el software de la máquina virtual.

seguridad cibernética

Aunque el motivo del cambio del phishing al envenenamiento de SEO como mecanismo de propagación aún no está claro, la Unidad 42 teoriza que existe la posibilidad de que la campaña sea obra de otro IAB o de un grupo existente que lo haya enviado en respuesta. a las divulgaciones públicas.

“La combinación de infraestructura falsa legítima y comprometida explotada por la campaña WikiLoader ha llevado a los creadores de malware a centrarse en crear cargadores más seguros y robustos. Los ajustes están establecidos. Hay muchas formas de[mando y control]”, dijeron los investigadores.

La revelación se produce pocos días después de que Trend Micro revelara una nueva campaña utilizando el software. GlobalProtect falsifica una VPN para difundir malware de puerta trasera a usuarios de Medio Oriente

¿Te pareció interesante este artículo? Síguenos en Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

Puede interesarte

Por qué el nuevo chipset A18 de Apple hace que valga la pena actualizar el iPhone 16

Kerry Wan/ZDNET Los nuevos chips A18 y A18 Pro de Apple son la fuerza impulsora …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *